The Hacker Newsは9月8日、「Chinese Hackers Target Government Officials in Europe, South America, and Middle East」において、「Bronze President」と呼ばれる中国の脅威アクターによる新しいサイバー攻撃が確認されたと伝えた。このサイバー攻撃は欧州や中東、南米の政府関係者を標的として実施されており、「PlugX」と呼ばれるマルウェアを用いて行われたという。

Bronze Presidentは少なくとも2018年7月から活動が確認されている攻撃グループであり、中国に本拠を置き、中国政府の支援を受けている可能性が高いとされている。HoneyMyte、Mustang Panda、Red Lich、Temp.Hexなどの別名でも呼ばれる。これまでの活動では、公開されている侵害ツールや独自の侵害ツールを用いて、標的から長期間にわたって機密情報を盗み出す手口が確認されている。

そうしたツールの一つが「PlugX」である。PlugXは、政府機関や大手企業などに対する標的型攻撃に利用されることが多い不正なリモートアクセスツール(RAT)の一種で、標的のコンピュータへの侵害に成功すると、コマンドアンドコントロール(C2)サーバと接続してさまざまなタスクを実行し、追加のプラグインをインストールして機密情報を盗み出す機能を持つ。

Bronze Presidentの活動について報告したSecureworksのレポートでは、今回の攻撃キャンペーンに関するより詳細な情報がまとめられている。

  • Bronze Presidentによる攻撃キャンペーンに関するSecureworksのレポート

    Bronze Presidentによる攻撃キャンペーンに関するSecureworksのレポート

レポートによると、今回の攻撃キャンペーンでは、まずPDF文書を装ったWindowsショートカット(.LNK)ファイルを含むRARアーカイブファイルを配布し、標的のユーザーがそのショートカットファイルを実行することでPlugXに感染させる手口が用いられたという。おとりとして使われたPDF文書は政治的な内容をテーマにしたものであり、さまざまな国の政府高官がBronze Presidentによる情報収集の対象になっていることが推測できると指摘されている。

  • Bronze Presidentが使用したおとり文書の例(引用:Secureworks)

    Bronze Presidentが使用したおとり文書の例 引用:Secureworks

Secureworksのレポートには、今回の攻撃キャンペーンにおけるより具体的な攻撃手法の解説や、侵入の痕跡(IoC)などの詳細な情報がまとめられている。